Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Проект Указания Банка России “О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита" (по состоянию на 11 июля 2024 г.)

Обзор документа

Проект Указания Банка России “О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита" (по состоянию на 11 июля 2024 г.)

Настоящее Указание на основании подпункта 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает порядок проведения оператором автоматизированной информационной системы страхования операционного аудита.

1. В соответствии с подпунктом 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - Закон "Об организации страхового дела в Российской Федерации") оператор автоматизированной информационной системы страхования, указанной в пункте 1 статьи 33.11 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - соответственно оператор АИС страхования, АИС страхования) обязан не реже одного раза в два года проводить операционный аудит в порядке, установленном настоящим Указанием.

2. Оператор АИС страхования проводит операционный аудит путем оценки эффективности следующих элементов деятельности оператора АИС страхования:

системы управления рисками;

процедур, направленных на обеспечение операционной надежности оператора АИС страхования;

обеспечения оператором АИС страхования защиты и конфиденциальности информации, обрабатываемой в АИС страхования;

мер, применяемых для обеспечения безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

обеспечения оператором АИС страхования бесперебойности и непрерывности функционирования АИС страхования.

3. Оценка элементов деятельности оператора АИС страхования, указанных в пункте 1 настоящего Указания, включает:

оценку соответствия элемента деятельности оператора АИС страхования и внутренних документов оператора АИС страхования требованиям федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхование;

оценку достаточности необходимых для осуществления элемента деятельности оператора АИС страхования ресурсов;

оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры оператора АИС страхования;

достижение или возможность достижения пороговых уровней допустимого времени простоя и (или) деградации технологических процессов оператора АИС страхования, предусмотренных приложением к Положению Банка России от 30 июня 2023 года N 819-П "О требованиях к операционной надежности, которые обязан соблюдать оператор автоматизированной информационной системы страхования";

тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию, в автоматизированных системах и приложениях с использованием информационно-коммуникационной сети "Интернет", а также на официальном сайте оператора АИС страхования в информационно-коммуникационной сети "Интернет" на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

4. В целях проведения операционного аудита оператор АИС страхования вправе привлекать одно или несколько юридических лиц для оказания консультационных услуг в области управления рисками на финансовом рынке и в области информационных технологий (далее - консультант).

5. Оператор АИС страхования не вправе разглашать информацию, используемую в целях проведения операционного аудита, а также информацию, содержащуюся в отчете, подготовка которого предусмотрена пунктом 6 настоящего Указания, лицам, не привлеченным в целях проведения операционного аудита, за исключением случая, установленного пунктом 8 настоящего Указания.

6. По результатам операционного аудита оператор АИС страхования подготавливает отчет, который должен содержать:

реквизиты консультанта (полное наименование, идентификационный номер налогоплательщика, основной государственный регистрационный номер, адрес места нахождения);

информацию об элементах деятельности оператора АИС страхования, оценка которых проводилась в рамках операционного аудита;

наименование федеральных законов, иных нормативных правовых актов и нормативных актов Банка России, национальных и международных стандартов, оценка соответствия которым проводилась в ходе операционного аудита;

информацию о методиках, использованных для оценки указанных элементов деятельности оператора АИС страхования;

результаты оценок, проведенных в рамках операционного аудита, выявленные недостатки, рекомендации по их устранению.

7. Оператор АИС страхования направляет отчет, указанный в пункте 6 настоящего Указания, на рассмотрение Совета директоров (наблюдательного совета) оператора АИС страхования.

8. После рассмотрения Советом директоров (наблюдательным советом) оператора АИС страхования отчета, указанного в пункте 6 настоящего Указания, оператор АИС страхования представляет его копию в Банк России в срок не позднее 5 рабочих дней со дня подписания протокола заседания Совета директоров (наблюдательного совета) оператора АИС страхования, на котором осуществлялось рассмотрение указанного отчета.

9. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.

Председатель
Центрального Банка
Российской Федерации
Э.С. Набиуллина

Пояснительная записка
к проекту Указания Банка России "О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита"

В целях установления требований к порядку проведения оператором автоматизированной информационной системы страхования (далее - АИС страхования) операционного аудита Банк России разработал проект Указания "О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита" (далее - Проект).

Проект определяет, что является предметом проверки операционного аудита в соответствии с пунктом 1 статьи 33.11 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации".

Также Проектом установлены требования к составу элементов, оценка которых проводится в ходе операционного аудита, а также праву привлечения консультантов к операционному аудиту.

Проект предусматривает, что оператор АИС страхования не вправе разглашать информацию, используемую в целях проведения операционного аудита, а также информацию, содержащуюся в отчете по результатам операционного аудита.

Дополнительно Проект устанавливает требования к оформлению результатов операционного аудита и порядку их предоставления Совету директоров (наблюдательному совету) оператора АИС страхования и Банку России.

Проект распространяется на деятельность оператора АИС страхования.

Предложения и замечания по проекту принимаются по электронному адресу smolyakovan@cbr.ru с 11.07.2024 по 25.07.2024.

Обзор документа


Предложены правила операционного аудита, проводимого оператором АИС страхования.

Предусмотрена оценка системы управления рисками, обеспечения операционной надежности, защиты и конфиденциальности информации, безопасности персональных данных, бесперебойности и непрерывности функционирования АИС.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ: